Upload
alexey-lukatsky
View
10.340
Download
2
Embed Size (px)
Citation preview
1/398© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling
Построение модели угрозВерсия 1.3
Алексей Лукацкий
Бизнес-консультант по безопасности
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 2/398
О курсе
Цель: Понимание методов разработки модели угроз как с практической точки зрения, так и для выполнения требования регуляторов
На сегодняшний день модель угроз обязательно требуется только по линии защиты персональных данных
Структура
Ключевые понятия и термины
Общие подходы к моделированию угроз
Методики моделирования угроз (в т.ч. и для защиты ПДн)
Средства автоматизации
Оформление модели угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 3/398
О курсе
Мы рассматриваем многие из существующих моделей угроз и методов их разработки
Применение их в конкретной организации зависит от множества условий и целей
Преподаватель
• Рассматривает все альтернативы
Консультант
• Ищет пути решения для конкретной компании
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 4/398
Точки зрения на модель угроз
Модель угроз
Служба ИБ
Регуляторы
Надзорный орган
ВендорИнтегратор
Нарушитель
Юрист
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 5/398
Содержание
Для чего нужна модель угроз?
Необходимость или требование регулятора?
Оценка вероятности и стоимости ущерба
Процедура построения модели угроз
Различные методы моделирования угроз
Примеры моделей угроз
Средства моделирования угроз
Форма модели угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 6/398
Общий подход к оценке угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 7/398
“Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса – зал общий, а система игры у каждого своя”
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 8/398
Взглянем с точки зрения заказчика
Методики оценки рисков представляются интеграторами и консультантами
…которые заинтересованы в продаже своих продуктов и услуг
Признаки хорошей методики управления рисками
Она полезна для меня ? Соответствует моим требованиям к принятию решений? Получаю ли я ответы на мои вопросы?
Она логична? Она измеряет именно риски или уязвимости или меры защиты (controls)? Она оценивает частоту угроз иразмер ущерба и вероятность?
Она соответствует действительности? Интернет-банк очень часто незащищен (высокий риск); но много ли мы знаем фактов потерь вследствие этого?
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 9/398
Управление рисками и шаманство
Управление рисками сегодня это больше искусство, чем наука
Управление рисками похоже на шаманство
Битье в бубен, бросание костей –отсутствие рационального объяснения своего выбора и «почему это работает»
Заветы предков – Best Practices
Интуиции и опыт хороши, но…
А какой риск приемлем?..
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 10/398
Что такое угроза?
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 11/398
Что такое угроза?
Совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и(или) несанкционированными и(или) непреднамеренными воздействиями на нее
Рекомендации ФСТЭК по защите коммерческой тайны и КСИИ
Потенциальная причина инцидента, который может нанести ущерб системе или организации
ГОСТ Р ИСО/МЭК 13355-1:2006, ГОСТ Р ИСО/МЭК 27002
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 12/398
Что такое угроза?
Угрозы безопасности персональных данных -совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных
Требования ФСТЭК по защите персональных данных
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 13/398
Что такое угроза?
Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации
ГОСТ 50.1.056-2005
Возможная причина нежелательного инцидента, который может закончиться ущербом для системы или организации
ISO\IEC 13355-1:2004, ГОСТ Р ИСО/МЭК 27002
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 14/398
Что такое риск?
Вероятная частота и вероятная величина будущих потерь
Метод FAIR
Сочетание вероятности события и его последствий
ГОСТ Р 51901.1-2002
Комбинация вероятности события и его последствий
ГОСТ Р ИСО/МЭК 17799-2005
Вероятность причинения ущерба вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости
ГОСТ Р 52448-2005
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 15/398
Что такое риск?
Потенциальная опасность нанесения ущербаорганизации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов
ГОСТ Р ИСО/МЭК 13335-1-2006
ГОСТ Р ИСО/МЭК 13569 (проект)
Риск – сочетание вероятности нанесения ущерба и тяжести этого ущерба
ГОСТ Р 51898-2002
Состояние неопределенности, в котором некоторые возможности приводят к потерям, катастрофам или иным нежелательным результатам
Даг Хаббард
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 16/398
Риск vs. угроза vs. другие термины
Риск - это способность конкретной угрозы использовать уязвимости одного или нескольких видов активов для нанесения ущерба организации
Источник: ГОСТ Р ИСО/МЭК 15408-1-2002
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 17/398
Элементы риска
Риск описывается комбинацией следующих элементов:
Тяжесть возможного ущерба (последствия)
Вероятность нанесения ущерба
Частота и продолжительность воздействия угрозы
Вероятность возникновения угрозы
Возможность избежать угрозы или ограничить ущерб от нее
Эффективность управления рисками зависит от того, сможем ли мы оценить эти элементы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 18/398
Характеристики угроз
Также надо учитывать и другие характеристики (например, согласно ISO 13335)
Источник – внутренний или внешний;
Мотивация, например финансовая выгода, конкурентное преимущество
Частота возникновения
Правдоподобие
Вредоносное воздействие
Нельзя забывать про длительность воздействия угрозы
Разовая утечка информации vs. DDoS-атака в течение квартала
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 19/398
Что такое модель угроз?
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 20/398
Модель угроз
Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба
РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки рисков нарушения информационной безопасности»
Физическое, математическое, описательное представление свойств и характеристик угроз безопасности информации
ГОСТ 50922-2006 «Защита информации. Основные термины и определения»
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 21/398
Модель угроз (окончание)
Модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности
Модель угроз - перечень возможных угроз
Методические рекомендации ФСБ по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 22/398
Зачем нужна модель угроз?
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 23/398
Зачем нужно моделирование угроз
Систематическая идентификация потенциальных опасностей
Систематическая идентификация возможных видов отказов
Количественные оценки или ранжирование рисков
Выявление факторов, обуславливающих риск, и слабых звеньев в системе
Более глубокое понимание устройства и функционирование системы
Сопоставление риска исследуемой системы с рисками альтернативных систем или технологий
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 24/398
Зачем нужно моделирование угроз (окончание)
Идентификация и сопоставление рисков и неопределенностей
Возможность выбора мер и приемов по обеспечению снижения риска
ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»
Основная задача моделирования угроз – обоснование решений, касающихся рисков
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 25/398
Вопросы для модели угроз
Модель нарушителя должна ответить на следующие вопросы
Какие угрозы могут быть реализованы?
Кем могут быть реализованы эти угрозы?
Модель нарушителя
С какой вероятностью могут быть реализованы эти угрозы?
Каков потенциальный ущерб от этих угроз?
Каким образом могут быть реализованы эти угрозы?
Средства и каналы реализации
Почему эти угрозы могут быть реализованы?
Уязвимости и мотивация
На что могут быть направлены эти угрозы?
Как можно отразить эти угрозы?
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 26/398
Анализ угроз vs. анализ рисков
Согласно РС БР ИББС-2.2-2009 моделирование угроз предшествует оценке рисков
Согласно другим стандартам и лучшим практикам анализ угроз и анализ рисков очень тесно переплетены
Анализ рисков позволяет ответить на 3 вопроса (согласно ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»)
Что может выйти из строя (идентификация опасности)
С какой вероятностью это может произойти (анализ частоты)
Каковы последствия этого события (анализ последствий)
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 27/398
Качественная или количественная оценка?
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 28/398
Качество или количество?
1954 г. - Paul Meehl – «Clinical Versus Statistical Prediction: A Theoretical Analysis and Review of the Evidence», 1954
Работа обновлена в 1996
Количественная оценка работает лучше экспертной (качественной)
В 136-ти случаев из 144-х
Качественная оценка необъективна по своей сути
При качественной оценке сложно предъявить доказательства
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 29/398
Качество/количество: кому доверять?
Отсутствие количественной оценки не позволяет
Оценить адекватность затрат на снижение рисков
Оценить возможность перекладывания рисков
Продемонстрировать снижение рисков
Сравнить текущий уровень с предыдущими значениями
Качественная оценка Количественная
оценка
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 30/398
Когда нет цифр?
Количественная оценка не всегда возможна из-за
Недостатка информации о системе
Недостатка информации о деятельности, подвергающейся оценке
Отсутствии или недостатке данных об инцидентах
Влияния человеческого фактора
Качественная оценка требует
Четкого разъяснения всех используемых терминов
Обоснования всех классификаций частот и последствий
Понимания всех плюсов и минусов качественной (экспертной) оценки
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 31/398
Метод: экспертная оценка
Достоинства ОграниченияПростота реализации Возможность влияния на экспертное
мнение заинтересованными лицами
При оценке случайных событий принцип «здравого смысла» неприменим
Волюнтаризм экспертов
Отсутствие достаточного количества экспертов
Балльные оценки экспертов не позволяют судить о количественных соотношениях между оцениваемыми объектами
Зависимость от квалификации эксперта
Психология восприятия риска
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 32/398
Метод Дельфи
Основной принцип: если опросить людей, обладающих компетенцией в интересующем нас вопросе, их усредненная оценка обычно будет точна более чем на 80%
Если провести второй раунд, предварительно ознакомив экспертов с результатам первого, то результативность становится еще выше
Модификация метода: брать среднюю оценку после отбрасывания крайних значений
Данный метод рекомендуется применять, если эксперты не могут подкрепить свое мнение серьезными аргументами
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 33/398
Метод Дельфи: пример
Эксперты Раунд 1 Раунд 2
Эксперт 1 50 55
Эксперт 2 65 60
Эксперт 3 100 80
Эксперт 4 30 50
Эксперт 5 60 60
Итого 61 / 58 61 / 58
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 34/398
Несколько примеров недооценки угроз экспертами
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 35/398
Атаки на процессинг
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 36/398
Атаки на банкоматы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 37/398
Безопасность банковского ПО
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 38/398
Банковские трояны (пример)
Троян Tofger
После посещения ряда Интернет-банков пересылает введенные с клавиатуры данные и скриншоты экрана
Троян Banker.chg
Перехватывает доступ к определенным банковским сайтам и переправляет на подставные сайты (фарминг)
Троян Bancos.pw
Перехват HTTPS-трафика
Троян Zbot.ikh
Перехват данных HTTP для некоторых российских банков, а также кража сертификатов, ключей ЭЦП и т.п.
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 39/398
DDoS-атаки на банки
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 40/398
Безопасность клиентов
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 41/398
Контроль привилегированных
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 42/398
Атаки на Интернет-банкинг
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 43/398
Безопасность пластика
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 44/398
Подставные сайты (фишинг и фарминг)
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 45/398
Информационная война
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 46/398
Законодательство и ИБ
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 47/398
Психология восприятия риска
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 48/398
Психология восприятия риска
Даже при наличии фактов и достаточного объема информации об анализируемой системе у экспертов существует сложность с восприятием риска
Безопасность основана не только на вероятности различных рисков и эффективности различных контрмер (реальность), но и на ощущениях
Ощущения зависят от психологических реакций на риски и контрмеры
Чего вы больше опасаетесь – попасть в авиакатастрофу или автоаварию?
Что вероятнее – пасть жертвой террористов или погибнуть на дороге?
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 49/398
Реальность и ощущения
Реальность безопасности ≠ ощущения безопасности
Система может быть безопасной, даже если мы не чувствуем и не понимаем этого
Мы можем думать, что система в безопасности, когда это не так
Психология восприятия риска безопасности
Поведенческая экономика
Психология принятия решений
Психология риска
Неврология
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 50/398
Реальность и ощущение безопасности
Число погибших в авиакатастрофах в России в 2008 году – 139 человек
1980 – 1989 гг. – в СССР 2624 жертвы авиакатастроф
Трагедия 11 сентября в США унесла жизни 2973 человек
Число жертв автоаварий в России – около 100 человек ежедневно (!)
1,2 млн. жертв в год, 20-50 млн. получают травмы
От отравления пищей в США ежегодно умирают 5000 человек
ОщущениеРеальность
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 51/398
Наше отношение к рискам и угрозам
Мы преувеличиваем одни риски и преуменьшаем другие
Наше восприятие риска чаще всего «хромает» в пяти направлениях
Степень серьезности риска
Вероятность риска
Объем затрат
Эффективность контрмер
Возможность адекватного сопоставления рисков и затрат
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 52/398
Основные ошибки восприятия
Люди преувеличивают риски,
которые
Люди преуменьшают риски,
которые
Производят глубокое впечатление Не привлекают внимание
Случаются редко Являются обычными
Персонифицированы Анонимны
Неподконтрольны или навязаны
извне
Контролируются в большей
степени или принимаются
добровольно
Обсуждаются Не обсуждаются
Преднамеренные или
спровоцированные человеком
Естественные
Угрожают непосредственно Угрожают в будущем, или границы
которых размыты
Внезапны Развиваются медленно, со
временем
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 53/398
Основные ошибки восприятия (окончание)
Люди преувеличивают риски,
которые
Люди преуменьшают риски,
которые
Угрожают человеку лично Угрожают другим
Новые и незнакомые Знакомые
Неопределенные Понятные
Угрожающие их детям Угрожающие им самим
Оскорбительные с моральной
точки зрения
Желательные с моральной точки
зрения
Полностью лишенные выгод Связанные с дополнительными
выгодами
Выходят за рамки обычной
ситуации
Характерны для обычной ситуации
Недоверенные источники Доверенные источники
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 54/398
Ошибки восприятия безопасности
Мобильные вирусы
«Операторы сотовой связи готовятся к эпидемиями вирусов для мобильных телефонов»
«Мобильный апокалипсис лишь вопрос времени»
Западные производители ПО специально вставляют закладки, чтобы украсть вашу информацию
В моем антивирусе для смартфона всего 1000 записей и ни одного предупреждения за 2 (!) года
Отечественный разработчик несет большую угрозу
он пока не дорожит репутацией
Более опасный риски Реальность
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 55/398
Как мозг анализирует риски
В человеческом мозгу 2 системы отвечают за анализ рисков
Примитивная интуитивная –работает быстро
Продвинутая аналитическая –принимает решения медленно
Продвинутая система появилась только у высших приматов – еще не отшлифована
Обе системы работают одновременно и конфликтуют между собой
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 56/398
Как мозг анализирует риски
Человек не анализирует риски безопасности с точки зрения математики
Мы не анализируем вероятности событий
Люди не могут анализировать каждое свое решение
Это попросту невозможно
Человек использует готовые рецепты, общие установки, стереотипы, предпочтения и привычки
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 57/398
Интересные следствия
«Предубеждение оптимизма» -мы считаем, что «с нами это не случится», даже если это случилось с другими
Несмотря на эпидемии и атаки других компаний, сами мы считаем, что нас это никак не коснется – мы игнорируем или преуменьшаем риски сетевой безопасности
Человеческий мозг не умеет работать с большими числами
1 шанс из 2-х против 1 шанса из 8-ми гораздо понятнее, чем 1 шанс из 10000 против 1 шанса из 100000
1 шанс из 10000 = «почти никогда»
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 58/398
Интересные следствия (продолжение)
«Эвристика доступности» –события, которые легче вспоминаются, имеют больший риск
Или произошли недавно
Или имели более серьезные последствия (для эксперта)
Или преподносятся ярко
Люди склонны игнорировать действительные вероятности в случаях, когда ситуация эмоционально окрашена
Терроризм, авиакатастрофы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 59/398
Интересные следствия (продолжение)
Риски, имевшие место когда-либо в жизни эксперта, имеют больший вес, чем те, с которыми он никогда не встречался
Мы будем бороться с атаками, уже произошедшими в прошлом, игнорируя будущие угрозы
Чем более выдающимся кажется событие, тем выше вероятность, что оно покажется случайным
СМИ и вендоры часто вредят адекватности восприятия эксперта
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 60/398
Интересные следствия (окончание)
Очень важна последовательность, в которой представлены те или иные альтернативы
«Предубеждение подтверждения» - люди склонны больше учитывать данные, которые подтверждают предварительно занимаемую ими позицию, чем те, которые ее опровергают
Ситуация еще хуже - люди, которые занимают позицию A, иногда считают, что свидетельство анти-A тоже поддерживает их позицию